Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Блог→Инциденты→15 июл 2010→Мирт и гуава: Эпизод 1

Мирт и гуава: Эпизод 1

Александр Гостев
Эксперт «Лаборатории Касперского»
опубликовано 15 июл 2010, 09:32 MSK
Сюжеты: Microsoft, Уязвимости 0-day, Технологии вредоносных программ, Stuxnet

0.8

Несколько дней назад коллеги из белорусской антивирусной компании VirusBlokAda (VBA) сообщили об обнаружении новой интересной вредоносной программы.

Также ими был опубликован небольшой анализ c выводом о наличии двух заметных «инноваций» в данной программе

1. Использован ранее не применявшийся способ запуска файлов со съемных USB-накопителей при помощи LNK-файлов.
2. Вредоносные драйверы обладают легальной цифровой подписью компании Realtek.

Я рекомендую нашим читателям ознакомиться с этим документом и благодарю экспертов VBA за их исследование. Отличный ресерч, парни!

Эксперты Лаборатории Касперского провели собственный анализ вредоносной программы и тоже нашли кое-что интересное.

Прежде всего следует отметить способ распространения данного Trojan-Dropper.Win32.Stuxnet. Троянец заражает флешки, создавая на них 4 lnk-файла:

"Copy of Copy of Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#RemovableMedia#7&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#RemovableMedia#8&[ID]&0&RM#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#Volume#1&19f7e59c&0&_??_USBSTOR#Disk&Ven_&Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

"Copy of Shortcut to.lnk"
– запускает \\.\STORAGE#Volume#_??_USBSTOR#Disk&Ven_&Prod_USB_FLASH_DRIVE&Rev_PMAP#0798018356734E4F&0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\~WTR4141.tmp

(~WTR4141.tmp – основной файл вредоносной программы)

Строчки из кода трояна осуществляющего заражение флешек

Интересно, что в первых двух файлах используется ID – уникальный номер флешки для данного компьютера.

До сих пор автозапуск файлов с дисков был привилегией autorun.inf. Эта «фича» ОС Windows уже давно стала обьектом жестокой критики со стороны экспертов по безопасности и одним из любимых приемов при распространении вирусов – они сформировали целый класс Worm.Win32.Autorun, насчитывающий несколько десятков тысяч различных угроз.

Но к autorun.inf и стартуемым из него вредоносам мы уже относительно привыкли (и научились бороться). А вот LNK-файлы – это действительно нечто новое. Для них можно зарезервировать класс “Linkrun” :)

Мы не беремся пока вынести окончательный вердикт: является ли этот трюк реальной неизвестной уязвимостью в OC Windows или же это очередная «фича» разработчиков компании из Редмонда. Впрочем, они уже были извещены о проблеме, и, вероятно, в ближайшие дни мы узнаем истину.

Но это только первая часть нашего небольшого обзора. Название «Мирт и гуава» тут тоже неспроста.

Продолжение следует...

9 комментариев

старые сверху

новые сверху

«дерево»

список

SetupNick

15 июл 2010, 20:17

0

Шорткаты-диверсанты?))Круто))

ответить

skoworodker

15 июл 2010, 20:52

0

никак не пойму, как он распространяется, если шорткаты самому запускать надо?

ответить

Игорь Крейн

15 июл 2010, 20:57

0

Re:

Пишут, что не надо ничего запускать. Просматриваешь корневую папку Эксплорером (и не только им) - подхватываешь вирус.

ответить

skoworodker

16 июл 2010, 15:16

0

Re: Re:

так вот никак не пойму КАК он запускается, ведь шорткаты обыкновенно сами не запускаются?
пишут:"Таким образом, пользователю достаточно открыть инфицированный накопитель в Microsoft Explorer или в любом другом файловом менеджере, который умеет отображать иконки в lnk-файлах (к примеру, Total Commander), чтобы произошло заражение системы"
т.е. этауязвимость позволяет запускать команду из строки где у ярлыка указана иконка??

ответить

Игорь Крейн

16 июл 2010, 18:52

0

Re: Re: Re:

Ну вот подробности нам не говорят, к сожалению. Или к счастью, потому что, возможно, есть шанс это дело прикрыть заплаткой, "пока не началось".

ответить

Игорь Крейн

17 июл 2010, 16:26

1

Как и следовало ожидать

Microsoft признал наличие уязвимости http://www.microsoft.com/technet/security/advisory/2286198.mspx

Когда будет "заплатка" не говорят, т.к. ещё изучают. Можно обойтись без неё, либо отключив отображение иконок для ярлыков, либо отключив службу WebClient.

ответить

Fixxxer

22 июл 2010, 17:09

0

Re: Как и следовало ожидать

This vulnerability can be exploited locally through a malicious USB drive, or remotely via network shares and WebDAV.

В итого отключение WebClient обеспечит безопасность по сетевым ресурсам, но подключение заражённой флешки всё равно приведёт к заражению.

Или Вы располагаете какой-то дополнительной информацией?

ответить

Валерий

17 июл 2010, 20:25

1

А могли бы обзор написать раньше, чем коллеги из VBA... Я образцы дроппера присылал ещё 1-го июля через форму вирлаба.

ответить

Сергей Голованов

20 июл 2010, 13:40

0

Re:

"Не сыпь мне соль на рану..."

ответить

Для добавления комментариев необходимо

авторизоваться

Печать

Закладки

Ссылки по теме

Компания 'ВирусБлокАда' сообщает об обнаружении вредоносной программы, использующей новую уязвимость для своего распространения

Experts Warn of New Windows Shortcut Flaw

В веблоге

Packed.Win32.Katusha.n

Кому нужен ваш SQL-сервер?

Патч LNK выпущен

Мирт и гуава: Эпизод 5

Мирт и гуава: Эпизод 4

© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com